代理一词往往并不陌生, 该服务我们常常用到如(代理理财、代理租房、代理收货等等),如下图所示
在没有代理模式的情况下,客户端和Nginx服务端,都是客户端直接请求服务端,服务端直接响应客户端。
那么在互联网请求里面,客户端往往无法直接向服务端发起请求,那么就需要用到代理服务,来实现客户端和服务通信,如下图所示
Nginx作为代理服务,按照应用场景模式进行总结,代理分为正向代理、反向代理
正向代理,(内部上网)客户端<―>代理->服务端
反向代理,用于公司集群架构中,客户端->代理<―>服务端
1.区别在于形式上服务的”对象”不一样
2.正向代理代理的对象是客户端,为客户端服务
3.反向代理代理的对象是服务端,为服务端服务
Nginx作为代理服务,可支持的代理协议非常的多,具体如下图
如果将Nginx作为反向代理服务,常常会用到如下几种代理协议,如下图所示
反向代理模式与Nginx代理模块总结如表格所示
| 反向代理模式 | Nginx配置模块 |
|---|---|
| http、websocket、https | ngx_http_proxy_module |
| fastcgi | ngx_http_fastcgi_module |
| uwsgi | ngx_http_uwsgi_module |
| grpc | ngx_http_v2_module |
Syntax: proxy_pass URL; Default: ― Context: location, if in location, limit_except http://localhost:8000/uri/ http://192.168.56.11:8000/uri/ http://unix:/tmp/backend.socket:/uri/
url跳转修改返回Location[不常用]
Syntax: proxy_redirect default; proxy_redirect off;proxy_redirect redirect replacement; Default: proxy_redirect default; Context: http, server, location
Syntax: proxy_set_header field value; Default: proxy_set_header Host $proxy_host; proxy_set_header Connection close; Context: http, server, location # 用户请求的时候HOST的值是www.oldboy.com, 那么代理服务会像后端传递请求的还是www.oldboy.com proxy_set_header Host $http_host; # 将$remote_addr的值放进变量X-Real-IP中,$remote_addr的值为客户端的ip proxy_set_header X-Real-IP $remote_addr; # 客户端通过代理服务访问后端服务, 后端服务通过该变量会记录真实客户端地址 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
一般来说,X-Forwarded-For是用于记录代理信息的,每经过一级代理(匿名代理除外),代理服务器都会把这次请求的来源IP追加在X-Forwarded-For中
来自4.4.4.4的一个请求,header包含这样一行
X-Forwarded-For: 1.1.1.1, 2.2.2.2, 3.3.3.3 代表 请求由1.1.1.1发出,经过三层代理,第一层是2.2.2.2,第二层是3.3.3.3,而本次请求的来源IP4.4.4.4是第三层代理
而X-Real-IP,没有相关标准,上面的例子,如果配置了X-Read-IP,可能会有两种情况
// 最后一跳是正向代理,可能会保留真实客户端IP X-Real-IP: 1.1.1.1 // 最后一跳是反向代理,比如Nginx,一般会是与之直接连接的客户端IP X-Real-IP: 3.3.3.3 所以 ,如果只有一层代理,这两个头的值就是一样的
那一般在后端取值(比如nodejs通过nginx代理)是用哪个值呢?我看sf上看一般推荐是用X-Forwarded-For,直接用 X-Real-IP岂不是更方便点?
X-Forwarded-For确实是一般的做法 1. 他在正向(如squid)反向(如nginx)代理中都是标准用法,而正向代理中是没有x-real-ip相关的标准的,也就是说,如果用户访问你的 nginx反向代理之前,还经过了一层正向代理,你即使在nginx中配置了x-real-ip,取到的也只是正向代理的IP而不是客户端真实IP 2. 大部分nginx反向代理配置文章中都没有推荐加上x-real-ip ,而只有x-forwarded-for,因此更通用的做法自然是取x-forwarded-for 3. 多级代理很少见,只有一级代理的情况下二者是等效的 4. 如果有多级代理,x-forwarded-for效果是大于x-real-ip的,可以记录完整的代理链路
按照HTTP 请求头中的 X-Forwarded-For这篇文章的例子,如果在Nginx的反向代理中添加了配置“proxy_set_header X-Real-IP $remote_addr”,X-Real-IP的值为”3.3.3.3“
//nginx代理与后端服务器连接超时时间(代理连接超时) Syntax: proxy_connect_timeout time; Default: proxy_connect_timeout 60s; Context: http, server, location //nginx代理等待后端服务器的响应时间 Syntax: proxy_read_timeout time; Default: proxy_read_timeout 60s; Context: http, server, location //后端服务器数据回传给nginx代理超时时间 Syntax: proxy_send_timeout time; Default: proxy_send_timeout 60s; Context: http, server, location
//nignx会把后端返回的内容先放到缓冲区当中,然后再返回给客户端,边收边传, 不是全部接收完再传给客户端 Syntax: proxy_buffering on | off; Default: proxy_buffering on; Context: http, server, location //设置nginx代理保存用户头信息的缓冲区大小 Syntax: proxy_buffer_size size; Default: proxy_buffer_size 4k|8k; Context: http, server, location //proxy_buffers 缓冲区 Syntax: proxy_buffers number size; Default: proxy_buffers 8 4k|8k; Context: http, server, location
Proxy代理网站常用优化配置如下,将配置写入新文件,调用时使用include引用即可
[root@Nginx ~]# vim /etc/nginx/proxy_params proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_connect_timeout 30; proxy_send_timeout 60; proxy_read_timeout 60; proxy_buffering on; proxy_buffer_size 32k; proxy_buffers 4 128k;
代理配置location时调用方便后续多个Location重复使用
location / { proxy_pass http://127.0.0.1:8080; include proxy_params; } nginx配置一个location只能代理后端一台主机;
| 角色 | 外网IP(NAT) | 内网IP(LAN) | 主机名 |
|---|---|---|---|
| Proxy | eth0:10.0.0.5 | eth1:172.16.1.5 | lb01 |
| web01 | eth0:10.0.0.7 | eth1:172.16.1.7 | web01 |
[root@lb01 ~]# scp 172.16.1.7:/etc/yum.repos.d/nginx.repo ./
[root@lb01 ~]# yum install nginx -y [root@lb01 ~]# systemctl enable nginx Created symlink from /etc/systemd/system/multi-user.target.wants/nginx.service to /usr/lib/systemd/system/nginx.service.
[root@lb01 ~]# cd /etc/nginx/conf.d/ [root@lb01 conf.d]# cat proxy_web.conf server { listen 80; server_name web.haoda.com; location / { proxy_pass http://10.0.0.7:80; proxy_set_header Host $http_host; } } [root@lb01 conf.d]# nginx [root@web01 ~]# cat /etc/nginx/conf.d/web.conf server { listen 80; server_name web.haoda.com; root /web; location / { index index.php index.html; } } [root@web01 ~]# nginx -t [root@web01 ~]# nginx -s reload 
[root@web01 ~]# cd /etc/nginx/conf.d/ [root@web01 conf.d]# vim web.conf server { listen 8080; server_name localhost; root /web; location / { index index.html; deny 10.0.0.0/24; allow all; } } [root@web01 conf.d]# mkdir /web [root@web01 conf.d]# echo "web01-7...." >/code_8080/index.html [root@web01 conf.d]# systemctl restart nginx [root@lb01 ~]# cd /etc/nginx/conf.d/ [root@lb01 conf.d]# cat proxy_web_node1.conf server { listen 80; server_name web.haoda.com; location / { proxy_pass http://172.16.1.7:8080; include proxy_params; } } [root@lb01 conf.d]# systemctl enable nginx [root@lb01 conf.d]# systemctl start nginx 来源:博客园
作者:_妙)”
链接:https://www.cnblogs.com/chenmiao531759321/p/11436127.html